[Exim-users-de] Mail aus Listen an bestimmte Adressen ablehnen
Hallo! Ich habe folgendes Problem zu lösen: Seit einigen Tagen bekommt der Vorstand des Vereins massenhaft Bulk-Mails. Nun möchte ich diese Mails möglichst früh ablehnen, bevor sie an die Vorstandsliste verteilt werden. Meine Idee: Bei allen Mails gibt es eine URL im Header-Feld List-Unsubscribe. Also: 1. Prüfen der Zieladresse 2. Wenn Zieladresse in einer Liste (lsearch) oder direkt benannt, dann prüfen, ob z. B. das Header-Feld List-Unsubscribe existiert und dort z. B. nicht westfalen.de drinsteht, dann „deny“ oder was auch immer. Ich vermute mal, das geht frühestens in einer Data-ACL, oder? In der Spec, im Exim-Buch und im Web habe ich gesucht, aber leider nichts gefunden, das mir zeigt, wie ich das machen könnte. Kann mir jemand auf die Sprünge helfen? Viele Grüße und bleibt gesund Jutta — Jutta Wrage Email: j...@witch.westfalen.de signature.asc Description: Message signed with OpenPGP ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
[Exim-users-de] Lösung: war: Crosspostings an bestimmte adressen verhindern
Lösung Am 11.02.2020 um 23:17 schrieb Heiko Schlittermann via Exim-users-de: > Ja, innerhalb der selben Verbindung könnte man natürlich die Fehler zählen, > und z.B. weitere > Nachrichten ablehnen, wenn es schon zu viele Fehler gab. Ich weiß nicht, ob > das was nutzt. Ich habe jetzt die Prüfung in der rcpt ACL und zusätzlich in der letzten DATA-ACL denymessage = nonono condition = ${if gt{$acl_c_smtp_never}{0}} condition = ${if gt{$acl_c_list_seen}{1}} denymessage = I don't think so condition = ${if gt{$acl_c_localonly}{2}} acl_c_smtp_never enthält die Menge der Adressaten im Spam-Fangnetz (also außerhalb nicht bekannte Adresse, die auch nicht als Adressat dienen darf) acl_c_list_seen enthält die Anzahl der Mailinglisten, die bestückt wurden. Wobei hier ggf. noch eine Änderung erfolgen muß, sobald Listen hinzukommen oder wieder mehr Traffic ist, so daß es durchaus vorkommen kann daß ein Host in einer Verbindung an zwei Mailinglisten sendet. acl_c_localonly enthält die Anzahl der lokalen Adressen, die von außen nicht mehrfach beschickt werden sollen, eigentlich momentan gar nicht. In der Data-ACL werden die Mails als ganzes abgelehnt, während ein deny in der RCPT-ACL nur die gefangene Adresse ablehnt. Damit war ohne den Eintrag in der DATA-ACL der Testversand an zwei Mailinglisten und den dritten Empfänger erfolgreich für letzteren. acl_c_smtp_never arbeitet im Moment mit einer Liste vollqualifizierter Adressen. Da ich aber gesehen habe, daß für mehrere andere Sites mail mit genau denselben erfundenen Empfängern wie johnsmithvt und anderes eingegangen war, werde ich da noch eine Datei mit den localparts mit hinzunehmen. Das hätte für drei Sites mit Sicherheit mehrere hundert Spam-Mails verschwinden lassen. Aber gestern waren plötzlich keine derartigen Mails mehr da, vermutlich weil die Absendenden Hosts in die DNS-Blacklist eingetragen waren. In der Nacht haben aber offenbar neue Hosts den Versand übernommen, wenn auch nicht gleich hunderte von Mails mehr kommen. Die Zahl der Bounces, die das System nach verzögerter Verarbeitung versendet, ist jedenfalls durch meine Maßnahmen (da waren ja noch mehr als das oben) auch enorm zurückgegangen. Viele Grüße Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
[Exim-users-de] Lösung: exim.crt und key
Hallo! Ich denke, es ist sinnvoll, zu schreiben, wie ich das Problem mit dem SSL-Key gelöst habe: Ein script in /usr/local/bin erstellt, daß im Letsencrypt-Verzeichnis auf einen neuen Key prüft und diesen bei Bedarf mit preserver-timestamps kopiert. Das ganze dann in cron.daily aufgerufen. Den Key ansehen kann man im Übrigen z. B. mit openssl x509 -text -noout -in /etc/exim4/exim.crt Da stehen dann unter anderem die Validity (von/bis) drin, der Herausgeber und die Namen der hosts, für die er gilt. Auf die Idee mit dem Script und dem Cronjob hat mich das Debian-Buch von Heike Jurzik gebracht. Wichtig: Der Eigentümer muß bei Debian Debian-exim sein. Und der private Key natürlich nicht weltweit lesbar. Etwas besseres ist mir ohne Veränderung der Rechte im Verzeichnisbaum von letscrypt nicht eingefallen. Gruß Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Crosspostings an bestimmte adressen verhindern
Hallo Heiko, Am 11.02.2020 um 23:10 schrieb Heiko Schlittermann via Exim-users-de: > Unroutable Address als Ausrede? Das ist dann aber nicht wegen *dieser* > ACL, da müsste „no crossposting“ stehen. Wahrscheinlich machst Du > vorher noch eine Empfänger-Validierung, bei der es schon scheitert. Danach kommt keine rcpt-acl mehr: Der Fehler saß vor dem Computer: Leerzeichen hinter dem Komma in der Adreßliste. Außer den Crosspostings hab eich noch eine andere Ansatzstelle, um Spammer sicher abzufangen: Eine ungültige Adresse, die bespammt wird. Sowohhl die Crosspostings als auch das Anschreiben dieser Adresse dürfen absolut nie vorkommen. Wie gesagt: Die Mailingslisten sind disjunct. Sollten irgendwann Mailinglisten mit Überschneidungen eingerichtet werden, müßte man das aber ggf. abschalten. Im Moment würde das Auslesen einer Variablen insgesamt 5 - 10% des verbliebenen Spams verhindern. Die Ablehnung für die eine garantiert ungültigen Adresse einer Site hat die Ablehnungen durch seinen Filter schon mal mehr als halbiert. Diese Adresse wird ausschließlich mit Spam angeschrieben. Mal sehen. Danke für die Hinweise Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Crosspostings an bestimmte adressen verhindern
Hallo! Am 11.02.2020 um 11:15 schrieb Heiko Schlittermann via Exim-users-de: > condition = ${if gt{$acl_m_list_seen}{1}} Ich habe noch mal nachgedacht. Es gibt doch Variablen, die während einer gesamten smtp-Connection erhalten bleiben, wenn sie einmal gefüllt sind. Vermutlich sollte ich diese beim Auftreten von Fehlern füllen und dann noch mal abprüfen, um ein deny oder auch bei weiteren RCPT in der Connection diese zur Ablehnung nutzen. Darüber müßte ich mal nachdenken. Aber viele Spammer senden anscheinend nur eine Mail an einen oder mehrere Empfänger in einer Verbindung und bauen dann weitere Verbindungen auf, um mehr zu senden, egal ob der vorherige Versuch erfolgreich war oder nicht. Gruß Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Crosspostings an bestimmte adressen verhindern
Hallo Heiko, Am 11.02.2020 um 11:15 schrieb Heiko Schlittermann via Exim-users-de: > deny message= no crossposting for $local_part@$domain >recipients = lsearch;$config_dir/lists >set acl_m_list_seen \ >= ${eval:$acl_m_list_seen + 1} >condition = ${if gt{$acl_m_list_seen}{1}} Das funktioniert schon ganz gut, aber es wird der erste Adressat durchgelassen. Die anderen werden mit "<** 550 Unrouteable address" abgelehnt. Zusatz: $config_dir verweist bei mir mit gesplitteter Config auf /var/lib/exim4, da muß dann normalerweise CONFDIR für /etc/exim4 stehen, denke ich. Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Deny, wenn bestimmter Empfänger und Sender keine Relay-domain
Am 02.02.2020 um 17:28 schrieb Heiko Schlittermann via Exim-users-de: >> Das müßte wohl in der acl_check_rcpt stehen, oder? > > Du musst die Ablehnung in die DATA ACL verschieben. > Denn wenn der böse Empfänger nicht der erste einer Serie ist, hast > Du dem Empfang für andere Empfänger bereits zugestimmt. > Also ein Flag setzen, wenn der Böse sichtbar wird, und dann in der > DATA ACL ablehnen. Hmm... ich kann also z. B. acl_c (die während der gesamten SNMP-Connection erhalten bleibt) füllen und in einer Data_ACL dann das abprüfen und das deny produzieren? Aber wo schreibe ich die Prüfung, ob ein fremder Host/Sender an eine für ihn verbotene lokale Adresse schreibt. Ich tue mich mit Exim noch immer etwas schwer. Und passende vollständige Beispiele, die ich umbauen könnte, habe ich bisher nicht gefunden. Gruß Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
[Exim-users-de] Deny, wenn bestimmter Empfänger und Sender keine Relay-domain
Hallo, ich habe folgendes Problem: Wenn Mail über SMTP kommt und der Sender ist keine lokale Domain oder eine Domain, für die wir Relay sind, dann soll der Empfang abgelehnt werden, wenn er an bestimmte interne Adressen geht, egal welche weiteren Empfänger in der Mails stehen. Das müßte wohl in der acl_check_rcpt stehen, oder? also irgendwas wie deny message = Not allowed local address for recipients hosts = !+relay_from_hosts # Lcalpart der Empfänger, ist hier local_parts richtig? local_parts = local1 : local2 delay 60s sein. Die nur von eigenen (sub-)Domains zu erreichenden Empfänger könnte man auch in eine List aufnehmen und mit lsearch nachsehen. Kann jemand helfen und hat vielleicht schon eine funktionierende Version? Gruß Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] SLS/SSL
Hallo Heiko, Am 26.01.2020 um 22:21 schrieb Heiko Schlittermann via Exim-users-de: >> Offenbar war der selbst zertifizierte Key nicht brauchbar. >> Die Ursache für die Fehlermeldungen war also nicht der Client sondern Exim >> selbst. > > „Nicht brauchbar“ ist eine sehr vage Beschreibung. Ich konnte mit dem Key keinen Connect herstellen. Unklare Ursache. Da das sowieso nur ein Workaround war, habe ich da nicht weiter nachgeforscht. Klar was, daß Exim dieses Cert lesen konnte. > Nicht Exim ist die *Ursache*, sondern er schreibt nur, welche Probleme es > gibt. Ursache sind die nicht passenden Permissions. Dafür kann der > Exim nichts. Nein, nicht Exim selbst sondern Die Ursache lag nicht am Mailclient sondern auf der Serverseite. Nachdem der Server mich nicht merh wegen der Fehlversuche rauswirft (IP-Ban), habe ich auch gefunden, warum der Link auf das Cert unter /etc/letsencrypt von Exim nicht gelesen wurde: Schon auf der Ebene ist der Zugang für Exim nicht möglich, da das Verzeichnis nur für den Owner +x ist. Und der Owner ist root. Bis zum Ablauf des Certs in zwei Monaten geht das nun erst einmal so. Bis dahin muß ich das mal weiter inspizieren, wie man das am besten macht. Dei Verbindungsaufnahme klappt jetzt auch mit dem alten mail.app einwandfrei. Ob es bei anderen Clients Probleme gibt, weiß ich noch nicht. Da muß ich Rückmeldungen abwarten- Heute habe ich zusätzlich noch in Main eingefügt: auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}} Damit wird verhindert, daß ein auth über eine unsichere Verbindung versucht werden kann. in der Auth-Sektion habe ich dann jeweils .ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS server_advertise_condition = ${if eq{$tls_in_cipher}{}{}{*}} .endif hinzugefügt. >> Was lernen wir: doppelt verlinkte Certs und Keys mag Exim unter >> Umständen nicht. > > „mag nicht“ Nun ja, siehe oben. Ich hatte die direkten Verzeichnisse und Dateirechte überprüft, aber leider lag das Problem an den Permission ganz unten. - Durchaus möglich, daß ich vergessen habe, dort nachzusehen, nachdem ich mal wieder vom Server rausgeworfen wurde und warten mußte, bis er mich wieder reinläßt. Gruß Jutta (Wrage) -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] TLS in gesplitteter Debian-Config
Hallo Andreas! Am 25.01.2020 um 14:06 schrieb Andreas Metzler via Exim-users-de: > Aus der vielgeliebten /usr/share/doc/exim4-base/README.Debian.gz > (Version buster): > | 2.2.2. Enabling TLS support for Exim as server > | > |You should have created certificates in /etc/exim4/ either by hand or > |by usage of the exim-gencert (which requires openssl). exim-gencert is > |shipped in /usr/share/doc/exim4-base/examples/ and takes care of proper > |access privileges on the private key file. > | > |Now, enable TLS by setting the macro MAIN_TLS_ENABLE in a local > |configuration file as described in Section 2.1.3, "Using Exim > |Macros to control the configuration". > > Ist das von deiner Seite durchgeführt worden? Das Problem ist: Ich habe den Exim nicht eingerichtet. Und mir wurde gesagt, daß TLS funktionieren würde. Ergo habe ich mich zunächst einmal darauf konzentriert, die Sachen in der Config umzusortieren und zu versuchen, mit einem Mail-Clien drauf zuzugreifen. Außerdem mußte ich irgendwie das Aufkommen von 60.000 Spam-Mails pro Tag reduzieren. Ich habe MAIN_TLS_ENABLE erst einschalten müssen Und ich habe mit "openssl req -x509 -newkey rsa:1024 -keyout exim-local-cert.crt -out exim-local-cert.crt -days -nodes" (Aus dem Exim-Buch) einen neuen Key erzeugt und eingebunden. Jetzt bekomme ich mit dem openssl s_client auch ein Zertifikat angeboten. Ende der Session: No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: RSA Server Temp Key: ECDH, P-256, 256 bits --- SSL handshake has read 1379 bytes and written 482 bytes Verification error: self signed certificate --- New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher: ECDHE-RSA-AES256-GCM-SHA384 Session-ID: 6DFDD8229DBEB889DB8944474C137252106685143EFDA70D5230D779F6B5DFF8 Session-ID-ctx: Master-Key: 1C31F2322DC2F41CC2C90B89A728406974931514F9472508C0E66D402D892F4E2339B3F7C941F7A1348E18211FF50465 PSK identity: None PSK identity hint: None SRP username: None Start Time: 1579958852 Timeout : 7200 (sec) Verify return code: 18 (self signed certificate) Extended master secret: yes --- 250 HELP Das sieht doch schon mal besser aus. Mit Mail.app kann ich aber noch immer keine Mail absenden. - Wobei ich durch die Fehlversucht erst einmal vom Server gebannt wurde, also das Log nicht ansehen kann. So, jetzt aber: Der Versuch von Mail.app, auf den Server zuzugreifen, hat immer noch die folgende Meldung zufolge: TLS error on connection freom [...] (gnutls_handshake): The TLS connection was non-properly terminated. In der Zeile mit "no Mail in SMTP connection from steht für alle drei Ports: D=0s C=EHLO,STARTTLS Wenn ich es direkt mit der Vorgabe versucht, daß Mail.app es nur auf Port 465 versucht, bekomme ich im Exim Log: SMTP protocol synchronization error (input sent without waiting for greeting): rejected connection from H=hostname_client.dip0.t-ipconnect.de [IP_Client] I=[IP_Server]:465 input="\200C\001\003\001" dann habe ich noch mal einen "grep " TLS " /var/log/exim4/mainlog" gemacht. Da ist außer meinen Versuch nur eine Zeile mit TLS, outbound.protection.outlook.com, wo sich Exim über einen "Error n push function" beschwert. Der Start von Exim sieht so aus laut mainlog: daemon started: pid=763, -q30m, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SMTPS on port 465 (IPv6 and IPv4) Ach ja: In der Dovecot-Konfiguration habe ich Das Folgende gegenüber dem Vorschlag auf https://wiki.dovecot.org/HowTo/EximAndDovecotSASL geändert service auth { ... #SASL unix_listener auth-client { mode = 0660 user = mail } ... } nach: service auth { ... #SASL unix_listener auth-client { mode = 0660 user = Debian-exim } ... } Ob das jetzt funktionieren würde auf Dauer weiß ich nicht. Gruß und Dank Jutta -- http://www.witch.westfalen.de signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] TLS in gesplitteter Debian-Config
Hallo! Am 25.01.2020 um 00:28 schrieb Heiko Schlittermann via Exim-users-de: > openssl s_client -starttls smtp -connect SERVER:smtp >openssl s_client -starttls smtp -connect SERVER:submission >openssl s_client-connect SERVER:submissions openssl s_client -starttls smtp -connect MAIL_HOST:submission CONNECTED(0004) Didn't find STARTTLS in server response, trying anyway... 140735166466400:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:ssl/record/ssl3_record.c:332: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 330 bytes and written 356 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- Auf der Serverseite starte das ganze mit: SNMP connect from [...] SMTP protocol error in "STARTTLS" H=CLIENTHOST (mail.example.com) [My_IP] I=[Server_IP]:587 STARTTLS command used when not advertised Dann kommen syntax-Error-Meldungen Beendet wird die Verbindung mit: [...] dropped: too many syntax or protocol errors (last command was "?\f?") und no MAIL in SMTP connection from [...] Wenn ich den Port 25 direkt anspreche, bekomme ich auf der Seite des s_client eine identische Meldung. Auf der Seite https://scottlinux.com/2014/06/05/check-for-smtp-tls-from-command-line-with-openssl/ Habe ich ein Beispiel gefunden, wo das TLS funktioniert. Für mich ist das en Hinweis, daß auf unserem Server irgend etwas in der Configuration fehlt oder falsch ist. In der Config des Servers steht unter anderem: MAIN_TLS_CERTIFICATE = CONFDIR/exim.crt MAIN_TLS_PRIVATEKEY = CONFDIR/exim.key unter /etc/exim4/ sind exim.crt und exim.key links auf andere Dateien. Entsprechende symbolische Links habe ich nach Hinweis des anderen Admin auch bei Dovecot eingestellt. Da dort die SSL-Connection funktioniert, weiß ich nicht, ob es an den Links im Verzeichnis /etc/exim4 liegt oder an der Konfiguration des Exim. Da eine gesplittete Configuration (Debian) verwendet wird, liegen die Konfigurationsdateien in /etc/exim4/conf.de/UMTERVERZEICHNISSE/ Ergebnis grep auf die verwendete Konfiguration: grep -i tls /var/lib/exim4/config.autogenerated +tls_certificate_verified \ +tls_peerdn \ +tls_cipher \ MAIN_LOG_SELECTOR = +smtp_protocol_error +smtp_syntax_error +tls_certificate_verified +tls_peerdn tls_on_connect_ports = 465 .ifdef MAIN_TLS_ENABLE .ifndef MAIN_TLS_ADVERTISE_HOSTS MAIN_TLS_ADVERTISE_HOSTS = * tls_advertise_hosts = MAIN_TLS_ADVERTISE_HOSTS .ifdef MAIN_TLS_CERTKEY tls_certificate = MAIN_TLS_CERTKEY .ifndef MAIN_TLS_CERTIFICATE MAIN_TLS_CERTIFICATE = CONFDIR/exim.crt tls_certificate = MAIN_TLS_CERTIFICATE .ifndef MAIN_TLS_PRIVATEKEY MAIN_TLS_PRIVATEKEY = CONFDIR/exim.key tls_privatekey = MAIN_TLS_PRIVATEKEY .ifndef MAIN_TLS_VERIFY_CERTIFICATES MAIN_TLS_VERIFY_CERTIFICATES = ${if exists{/etc/ssl/certs/ca-certificates.crt}\ tls_verify_certificates = MAIN_TLS_VERIFY_CERTIFICATES .ifdef MAIN_TLS_VERIFY_HOSTS tls_verify_hosts = MAIN_TLS_VERIFY_HOSTS .ifdef MAIN_TLS_TRY_VERIFY_HOSTS tls_try_verify_hosts = MAIN_TLS_TRY_VERIFY_HOSTS .ifdef _HAVE_GNUTLS tls_dhparam = historic tls_advertise_hosts = REMOTE_SMTP_HOSTS_AVOID_TLS = \ .ifdef REMOTE_SMTP_HOSTS_AVOID_TLS hosts_avoid_tls = REMOTE_SMTP_HOSTS_AVOID_TLS .ifdef TLS_DH_MIN_BITS tls_dh_min_bits = TLS_DH_MIN_BITS .ifdef REMOTE_SMTP_TLS_CERTIFICATE tls_certificate = REMOTE_SMTP_TLS_CERTIFICATE tls_privatekey = REMOTE_SMTP_PRIVATEKEY .ifdef REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS hosts_avoid_tls = REMOTE_SMTP_SMARTHOST_HOSTS_AVOID_TLS .ifdef REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS hosts_require_tls = REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS .ifdef TLS_DH_MIN_BITS tls_dh_min_bits = TLS_DH_MIN_BITS .ifdef REMOTE_SMTP_SMARTHOST_TLS_CERTIFICATE tls_certificate = REMOTE_SMTP_SMARTHOST_TLS_CERTIFICATE tls_privatekey = REMOTE_SMTP_SMARTHOST_PRIVATEKEY Jutta -- Jutta Wrage signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
[Exim-users-de] TLS in gesplitteter Debian-Config
Hallo! 1. Ich komme mit der gesplitteten Config auf unserem Server nicht klar und hätte gern eine Anleitung - möglichst mit Beispielen. Weiß jemand, wo es so etwas gibt? Am besten was zu runterladen und Ausdrucken. 2. Das TLS schein nicht korrekt zu funktionieren. Bei https://de.ssl-tools.net/mailservers/ habe ich einen Test gemacht und da ist der Server durchgefallen, obwohl ich im Log manchmal Einträge über die cipher finde. Ich habe mal alles, wo TLS drin vorkommt aus der config.autogenerated mit grep rausgesucht. Mir scheint da fehlt was. Und ich weiß auch nicht, ob das in /etc/exim4 verlinkte Zertifikat/der Key funktioniert (also ob Exim da überhaupt drauf zugreifen und es benutzen kann). Ich kann das Ergebnis des Grep gern mal posten. 3. Gibt es mehr als nur die Manpage zu openssl und s_client für die Nutzung des s_client? - Ich hätte gern Beispiele, wie ich damit Sachen herausfinden kann. Das Mailprogramm, das ich bisher dafür benutz habe, zu testen, ob User zugreifen können, schreibt leider kein Log (älteres Mail.app von Apple). Mit dem Programm kann ich auf den securesmtp von T-online zugreifen und auch bei google und uni-muenster.de, alle verlangen, daß man SSL nutzt. Da ich aber kein Log habe, kann ich ja nicht sehen, was mail.app sendet und als Antworten bekommt. Ich sehe nur im Exim-Log, daß Exim keine Erfolgreiche TLS-Verbindung aufbauen kann. Der Servers sendet im übrigen irgendein Zertifikat, das ich dann einmal manuell bestätigen muß. Bei den nächsten Verbindungen kommt nichts dergleichen. Wo Mail.app das Zertifikat hinlegt, weiß ich nicht, vermutlich in den Schlüsselbund. Aber da kann ich es nicht finden, weil ich nicht weiß, wonach ich in der Liste der Zertifikate im Schüsselbund suchen soll. Ich bin es von früher gewohnt, daß man alles irgendwo vernünftig nachlesen kann. Aber im Moment fühle ich mich doch trotz Exim-Buch und der Spec recht verloren. Jutta -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Mail an bestimmte lokale user gar nicht erst annehmen
Am 23.01.2020 um 21:23 schrieb Heiko Schlittermann via Exim-users-de: > Und dann sollte Jutta aber lieber prüfen, wieso Sie Mails an den > Mailer-Daemon bekommt, das sollte eigentlich nicht vorkommen. Spam. Ja auch der Mailer-daemon kann bespammt werden. Früher kam es manchmal vor, daß fehlkonfigurierte MTA oder MUAs mit dem MTA Pingpong spielen wollten. Aber so etwas habe ich bisher nicht gesehen. Außer der Spam-Mail, die jetzt kam, habe ich hier von 2018 noch eine Automatenantwort des Conseil Régional Ile de France. Also kann man das wohl getrost versenken. Und der Gup für die Newsbestellungen kann nicht funktionieren genau wie die andere Adresse an der auch ein Programm die Mail einfängt, aber dumme Fehlermeldungen an die Spammer sendet, was ich nicht will. Außerdem geht es mir darum auch schnell zu finden, was man versenkt, damit man das rausnehmen kann, wenn die Funktionen wieder hergestellt sind. In dem einen Fall bekommt sowieso bei Funktion nicht der Absender die Antwort sondern der, auf den sich die Anfrage bei korrektem Syntax bezieht. Ich glaube der Gup antwortet bei Funktion auch an die Site im Text, wenn die valide ist, und nicht der Mailabsender - Allerdings bekommt bei Funktion der reale Absender bei Fehlern - und nur dann - wieder etwas wie: "WARNING: site requires 3 parameters, not 2 ERROR: 'site' command must preceed the 'del*ete' command [...] Insofern scheint mit der Eintrag name :blackhole: in /etc/aliases hier schon sinnvoll. Dann findet man das besser wieder als wenn man das über die .forward macht. Hmm funktioniert irgendwie noch nicht. Die Mail an gup wird acuh an die system-liste geschickt, die erst danach steht. Das muß ich mir noch mal genau ansehen. Gruß Jutta -- http://www.witch.westfalen.de signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
[Exim-users-de] Mail an bestimmte lokale user gar nicht erst annehmen
Hallo! Da noch nicht alles wieder läuft, möchte ich Mail an bestimmte lokale Adressen gar nicht erst annehmen, da da sowieso nur spam kommt. Das zweite Problem ist die Behandlung von Mail an den lokalen "MAILER-DAEMON", die es ja eigentlich auch nicht geben sollte. Auch diese möchte ich mindestens ohne Antwort wegwerfen. Wo und wie kann ich das mit einer gesplitteten Konfig (config.d in Debian) am besten einbauen? Ich hallte mir gedacht, analog zu anderen Listen von usern ein liste "list-deny" anzulegen, wo die lokalen User entweder nur der User oder full qualified die Adressen eingetragen werden. - Das hätte den Vorteil, daß man sie leicht wiederfindet, wenn etwas geändert werden soll, z. B. wenn der Gup für die Newsgroups wieder läuft. Zum herausfiltern von Spam habe ich noch nicht viel unternommen, wil ich noch so viel zu tun habe. Da bräuchte ich aber auch eine Lösung außer das Ablehnen von Verbindungen durch Spamversender (Blacklist bei Heise) Wichtig sind mir aber erst einmal die erstgenannten Probleme. Gruß Jutta -- Jutta Wrage wr...@t-online.de -- http://www.witch.westfalen.de signature.asc Description: Message signed with OpenPGP using GPGMail ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de
Re: [Exim-users-de] Exim und Dovevot - Auth für SMTP-User
Hallo Heiko, Am 09.01.2020 um 11:21 schrieb Heiko Schlichting: > Das ist ein Fehler auf einer ganz anderen Ebene und kann z.B. in einer > entsprechenden ACL für einen connect von diesem Host mit > >control = no_enforce_sync > > entsprechend umgangen werden. Grundsätzlich könnte man die Prüfung auch > global mit Da in der letzten Woche meine IP-Adresse gewechselt hat, vermute ich daß auch der Hostname der t-online-Einwahlen nicht stabil ist. Vermutlich ist die IPV6-Adresse stabil. Aber für jeden einzelnen, der sich einwählt, einen Eintrag machen... Das Merkwürdige ist, daß es bei der Uni Münster mit dem gleichen Client funktioniert. Aber die benutzen vermutlich keinen Exim. Vielleicht hat ja noch jemand anderes eine Idee, wie man mit den sendenden Client umgehen kann? Gruß Jutta (Wrage) -- http://www.witch.westfalen.de ___ Exim-users-de mailing list Exim-users-de@exim.org https://lists.exim.org/mailman/listinfo/exim-users-de